Un investigador de seguridad independiente dio el primer aviso. La policía holandesa lo pasó al equipo de cibercrimen. Y el Centro Nacional de Ciberseguridad de los Países Bajos (NCSC) coordinó la respuesta. El resultado: 200 servidores incautados en un proveedor de hosting local, una red criminal desconectada y más de 17 millones de dispositivos comprometidos que, hasta ese momento, estaban siendo usados para atacar a terceros sin que sus propietarios lo supieran.
La operación, anunciada el 28 de mayo de 2026, es una de las mayores disrupciones de malware de la historia reciente. El nombre de la red no se ha hecho público oficialmente, pero el diario neerlandés NL Times la vincula a ASOCKS, un servicio comercial de proxies residenciales con sede en Rusia que publicita 7 millones de direcciones IP, presencia en 150 países y más de 100.000 clientes.
Qué es un proxy residencial y por qué es tan peligroso
Para entender qué hizo esta red, hay que entender el negocio de los proxies residenciales.
Un proxy residencial enruta el tráfico de Internet a través del dispositivo de un usuario real —un ordenador doméstico, un móvil, una cámara de seguridad IP, un router— en lugar de a través de un servidor de centro de datos. El resultado es que el tráfico que sale de ese dispositivo parece proceder de un usuario doméstico legítimo, no de un atacante.
Eso tiene usos legítimos —pruebas de geolocalización para publicidad, verificación de precios en distintos mercados— pero también es la herramienta perfecta para el cibercrimen: ataques DDoS, campañas de spam, credential stuffing (probar contraseñas robadas a escala), phishing, fraude publicitario y distribución de malware. Cuando el ataque parece venir de millones de IP residenciales reales, los sistemas de detección lo tienen mucho más difícil.
La NCSC holandesa publicó un aviso técnico el día antes de la operación señalando exactamente este problema: el tráfico de proxies residenciales mezcla actividad maliciosa con tráfico doméstico normal, lo que hace que los sistemas de seguridad confíen en él más que en el tráfico proveniente de centros de datos o VPNs anónimas.
Los dispositivos que formaban la red —ordenadores, tablets, smartphones, routers, cámaras inteligentes y otros dispositivos IoT— habían sido infectados con malware sin conocimiento de sus propietarios. En algunos casos la infección ocurrió por vulnerabilidades de software sin parchear; en otros, por aplicaciones maliciosas que declaraban el uso como proxy en letra pequeña o directamente lo ocultaban.
Por qué la incautación de los servidores no es suficiente
Aquí viene el problema que los titulares sobre esta operación no cuentan: los 200 servidores controlaban la red, pero los 17 millones de dispositivos infectados siguen estándolo.
Cortar la infraestructura de mando y control (C2) detiene la comunicación entre los bots y sus operadores. Pero los dispositivos individuales no se limpian solos. Seguirán infectados hasta que sus propietarios los reinicien de fábrica, instalen actualizaciones que corrijan la vulnerabilidad original, o sean detectados por un antivirus. En muchos casos, especialmente en dispositivos IoT como cámaras o routers viejos, eso no ocurre nunca.
Los grupos de cibercriminalidad tienen además capacidad de reconstruir la infraestructura en semanas. La NCSC no ha divulgado qué malware específico usó la red ni qué vulnerabilidades explotó para infectar los dispositivos, lo que dificulta que los afectados sepan si están comprometidos.
ASOCKS tiene su web operativa en el momento de publicar este artículo, aunque no está claro si partes de la red han sobrevivido a la operación.
Un patrón repetido: ASOCKS no es la primera ni será la última
Esta operación sigue un patrón que se repite. Hace un año, las autoridades de EE.UU. y los Países Bajos desarticularon 5socks y Anyproxy, dos servicios similares de proxy-por-alquiler usados por ciberdelincuentes. Este año, fuerzas de varios países europeos y estadounidenses desmantelaron también SocSEscort. ASOCKS ya había aparecido en el radar de la firma de ciberseguridad HUMAN Security en 2024, cuando la vinculó con la botnet Proxylib tras encontrar dispositivos infectados que enrutaban su tráfico a través de la infraestructura de ASOCKS.
La IA generativa está acelerando el cibercrimen en Europa en todos sus vectores: más phishing personalizado, más malware producido a escala, más automatización de credential stuffing. Las botnets residenciales son el transporte de todo eso. Mientras haya millones de dispositivos IoT con firmware desactualizado, el negocio de los proxies residenciales maliciosos seguirá siendo rentable.
La raíz del problema es estructural: los fabricantes de hardware de consumo no tienen incentivos regulatorios para garantizar la seguridad de sus dispositivos durante toda su vida útil. Un router de 2018 sigue conectado en muchos hogares. Si su firmware tiene vulnerabilidades y el fabricante dejó de dar soporte, ese dispositivo es candidato permanente para convertirse en nodo de la próxima botnet.
La ciberseguridad controlada por IA es la respuesta del lado defensivo, pero tiene un límite obvio: si los dispositivos comprometidos son electrodomésticos con firmware que nadie actualiza, ningún SOC del mundo puede protegerlos desde fuera.
Mi valoración
La operación de la policía holandesa es técnicamente impresionante. Identificar, localizar y incautar 200 servidores en un solo proveedor de hosting es un trabajo de inteligencia y coordinación legal que requiere meses. Que lo haya detonado una denuncia de un investigador de seguridad individual es un recordatorio de lo importantes que son los canales de reporte a autoridades.
Lo que más me convence del operativo es la respuesta coordinada entre policía y NCSC, con un aviso técnico publicado antes del anuncio oficial para que los administradores de red pudieran prepararse. Eso es madurez institucional.
Lo que más me preocupa es la asimetría del resultado: incautar los servidores no desinfecta 17 millones de dispositivos. La NCSC no tiene mecanismo para notificar a los propietarios de esos dispositivos, y la mayoría nunca sabrá que su cámara de seguridad o su router lleva meses siendo cómplice de ataques DDoS.
Lo más estructuralmente significativo es que el modelo de negocio de los proxies residenciales, comercializado abiertamente por entre 5 y 15 dólares al mes, sigue siendo legal en muchas jurisdicciones mientras los proveedores finjan desconocer el uso final. Hasta que eso cambie, la economía de las botnets no desaparecerá.
La paradoja que subrayan los datos de empleo en ciberseguridad es que cada operativo de este tipo requiere más analistas, no menos: para investigar, para coordinar con autoridades internacionales, para gestionar la comunicación posterior. El cibercrimen y la ciberdefensa crecen juntos.
Preguntas frecuentes
¿Cómo sé si mi dispositivo forma parte de una botnet?
Los síntomas más comunes son ralentización inexplicable, consumo de batería o CPU inusualmente alto, tráfico de red en horas en que el dispositivo debería estar inactivo, y comportamiento errático en conexiones. En ordenadores, un antivirus actualizado puede detectar muchas infecciones. En routers y dispositivos IoT es más difícil: la opción más fiable es restablecer el firmware de fábrica e instalar la última versión oficial del fabricante, si existe.
¿Qué es ASOCKS y qué ofrece?
ASOCKS es un servicio comercial de proxies residenciales y móviles con sede en Rusia que vende acceso a direcciones IP de usuarios reales para enrutar tráfico de Internet. Se publicita como un «servicio proxy universal» con 7 millones de IPs en 150 países. La policía holandesa vinculó su infraestructura a una red criminal que infectó dispositivos sin consentimiento de sus propietarios.
¿Qué deben hacer las autoridades para que estas redes no vuelvan a crearse?
Los expertos coinciden en dos líneas: responsabilidad legal de los fabricantes de hardware por el soporte de seguridad durante la vida útil del dispositivo, y regulación más estricta del mercado de proxies residenciales comerciales para exigir verificación de que los nodos de la red han dado su consentimiento informado. Sin esas dos medidas, desmantelar una botnet es solo cortar la cabeza de la hidra.